Von Christopher Götz *)Am 2. Februar 2016 haben die Europäische Kommission und die US-Regierung eine politische Einigung über einen neuen rechtlichen Rahmen für den transatlantischen Transfer personenbezogener Daten zwischen Unternehmen erzielt: den EU-US Privacy Shield. Dieser Rahmen, der das am 6. Oktober 2015 vom EuGH für ungültig erklärte Safe-Harbor-Abkommen (EU-Kommissionsentscheidung 2000/520/EG) ersetzt, trat am 12. Juli 2016 in Kraft. Bei dem Regelwerk handelt es sich um eine Angemessenheitsentscheidung der EU-Kommission nach Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46/EG.Seit 1. August können sich datenimportierende US-Unternehmen auf Basis des Privacy Shield vom US-Handelsministerium eine Bescheinigung ausstellen lassen, dass sie die im Regelwerk aufgestellten datenschutzrechtlichen Anforderungen einhalten – und damit ein “angemessenes Datenschutzniveau” gewährleisten. Das EU-Recht sieht grundsätzlich vor, dass ein Transfer personenbezogener Daten in ein Land außerhalb der EU nur zulässig ist, wenn dieses Land oder das dort befindliche datenimportierende Unternehmen ein nach EU-Recht angemessenes Datenschutzniveau gewährleistet. Nur 120 KonzerneBislang haben sich rund 120 US-Unternehmen auf Basis des neuen Regelwerks selbst zertifiziert (www.privacyshield.gov). Vor dem Hintergrund, dass es sich bei den USA um einen der wichtigsten Handelspartner handelt (Volumen 2015: 619 Mrd. Euro bzw. 18 % des gesamten EU-Warenverkehrs), ist das nicht viel. Ein Hype ist damit offenkundig ausgeblieben. Woran liegt das mangelnde Interesse der Unternehmen, sich Privacy-Shield-gemäß zu zertifizieren?Das fehlende Interesse ist wohl insbesondere auf zwei Aspekte zurückzuführen: Es gibt bekannte und bewährte Alternativen, den Datentransfer rechtskonform zu gestalten. Zudem ist die Zukunft des Privacy Shield in seiner jetzigen Form ungewiss. Auf wackligen FüßenSo haben sich deutsche und europäische Datenschutzbehörden bislang äußerst kritisch zum Privacy Shield geäußert. Die Konferenz der Datenschutzbehörden des Bundes und der Länder hat im April 2016 die (bislang nicht revidierte) Auffassung vertreten, dass das Regelwerk völlig unzureichend sei, das für die Übermittlung personenbezogener Daten erforderliche “angemessene Datenschutzniveau” zu gewährleisten. Die Artikel-29-Datenschutzgruppe (Zusammenschluss der Behörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten) hatte sich ebenfalls im April zur Ursprungsversion des Regelwerks geäußert und darauf hingewiesen, dass dringender Nachbesserungsbedarf bestehe, da das Regelwerk “mit den Grundprinzipien des EU-Datenschutzrechts nicht vereinbar” und “insgesamt intransparent” sei.In der endgültigen Fassung, so die Artikel-29-Gruppe im Juli, seien manche Bedenken ausgeräumt worden, doch nicht alle. Bemängelt werden insbesondere die unzureichende Umsetzung der Betroffenenrechte sowie fehlende Garantien, dass das Abkommen nicht zur anlasslosen Massenüberwachung durch US-Behörden eingesetzt wird. Die Datenschutzbehörden wollen in einem Jahr nach Inkrafttreten des Regelwerks, also im Juli 2017, dieses erneut bewerten. Privacy Shield steht damit auf wackligen Füßen.Eine jährliche Überprüfung des Privacy Shield ist auch in der Angemessenheitsentscheidung selbst vorgesehen. Diese wiederkehrende Überprüfung dient der EU Kommission als Druckmittel gegenüber der US-Regierung. Es soll insbesondere sichergestellt werden, dass die in dem Regelwerk formulierten Anforderungen nicht verwässert werden. Allerdings führt die im Jahresturnus stattfindende Prüfung zu erheblicher Rechtsunsicherheit – sowohl bei datenexportierenden EU-Unternehmen als auch datenimportierenden US-Unternehmen, die sich auf die dauerhafte Gewährleistung eines angemessenen Datenschutzniveaus verlassen wollen. Bewährte AlternativenDie meisten Unternehmen greifen daher auf bewährte Alternativen zurück, um personenbezogene Daten in die USA zu transferieren: Zu nennen sind insbesondere die EU-Standardvertragsklauseln und, bei Unternehmensgruppen interessant, die Binding Corporate Rules. Beide Instrumente sind geeignet, eine “ausreichende Garantie” im Sinne des Bundesdatenschutzgesetzes in Bezug auf den Schutz der zu übermittelnden Daten in ein Land ohne angemessenes Datenschutzniveau darzustellen. EU-Standardvertragsklauseln sind Musterverträge der EU-Kommission. Ein Abweichen von den EU-Standardvertragsklauseln ist grundsätzlich unzulässig, langwierige Vertragsverhandlungen sind daher nicht zu erwarten.Der Vollständigkeit halber sei jedoch darauf hingewiesen, dass auch das mittelfristige Schicksal der Standardvertragsklauseln unklar ist, da Datenschutzbehörden zum Teil eine Überprüfung dieser durch den EuGH anstreben. Das Argument: Eine anlasslose Massenüberwachung mache nicht vor Vertragsklauseln halt.—-*) Christopher Götz ist Rechtsanwalt für IT und Datenschutz bei Simmons & Simmons in München.